水無月ばけらのえび日記

JavaでいうPreparedStatementみたいなのはないんですかねぇ。

http://msdn.microsoft.com/library/default.asp?

url=/library/en-us/cpguide/html/cpconsecureadonetcodingguidelines.asp

より

Dim selectString As String = "SELECT * FROM Customers WHERE CustomerID = @CustomerID"

Dim cmd As SqlCommand = New SqlCommand(selectString, conn)

cmd.Parameters.Add("@CustomerID", SqlDbType.VarChar, 5).Value = custID

VBで、しかも、DataTable使ってませんが…^^;

>Dim selectString As String = "SELECT * FROM Customers WHERE CustomerID = @CustomerID"

>

>Dim cmd As SqlCommand = New SqlCommand(selectString, conn)

>cmd.Parameters.Add("@CustomerID", SqlDbType.VarChar, 5).Value = custID

>

上記のようなparameterで私は回避してます。シングルコーテーションがそのまま登録できるのでINSERTなどはさらに楽です。

ようするに【謎】HTMLの「DOMを使う」に相当する解決策があることを分かればよろしい【謎】。

>ようするに【謎】HTMLの「DOMを使う」に相当する解決策があることを分かればよろしい【謎】。

http://www.ipa.go.jp/security/awareness/vendor/programming/a02_01.html

スターダストさん【誰】もベタほめのIPAのサイトにも「バインドを使え」と思いっきり書かれてますね。

　うーん、しかし真性の SQL サーバではなくて、XML から読んだデータをメモリ上で DataTable に格納してるだけなんですよね。

　で、DataTable の Select メソッドには string しか渡せないですし、バインドっぽいものがなさそうな感じなのですが……。

http://www.microsoft.com/japan/msdn/library/default.asp?url=/japan/msdn/library/ja/cpref/html/frlrfsystemdatadatacolumnclassexpressiontopic.asp

が参考になりませんでしょうか。

http://www.microsoft.com/japan/msdn/library/default.asp?url=/japan/msdn/library/ja/cpref/html/frlrfsystemdatadatatableclassselecttopic2.asp

の解説に「引数 filterExpression を作成するには、フィルタを作成するときに DataColumn クラスの Expression プロパティの値に適用する規則と同じ規則を使用します」とあります。

見当外れでしたら申し訳ありません。

　見当外れどころかまさにそれなのですが、そこに出てる文字全部ひとつずつエスケープしなきゃならんのかいな、という感じでして……。

>　見当外れどころかまさにそれなのですが、そこに出てる文字全部ひとつずつエスケープしなきゃならんのかいな、という感じでして……。

その意味でルート記事を書かれたのですね。失礼いたしました。

列名のサニタイズが必要な場合、

　　1. 「]」を「\]」に置換

　　2. 全体を「[」と「]」で囲む

で終りではないでしょうか。

「ユーザー定義の値（文字列値）」であれば、

　　1. 「'」を「''」に置換

　　2. 全体を「'」と「'」で囲む

と。

>「ユーザー定義の値（文字列値）」であれば、

>　　1. 「'」を「''」に置換

>　　2. 全体を「'」と「'」で囲む

>と。

　LIKE を使わない場合は * や % や [] は処理しなくて良いのでしょうか。その辺がイマイチ謎ですが……。

　まあ色々試してみますか。